Cyberangriffe gegen Unternehmen vor allem aus der kritischen Infrastruktur, zu der auch Tankstellen gehören, häufen sich. Die dadurch entstehenden Einbußen für die Wirtschaft belaufen sich im Schnitt auf mehr als 50 Milliarden Euro pro Jahr. Einen wirksamen Schutz gegen solche Angriffe und deren Folgen können Präventionsmaßnahmen leisten. Eine Studie der HDI Versicherung zeigt beträchtliches Potenzial zur Verbesserung des Cyberschutzes auf. Dazu befragte das Institut Sirius Campus Freiberufler sowie IT- und Versicherungs-Entscheider von über 500 kleinen und mittelständischen Unternehmen.
Technische Maßnahmen
Technische Maßnahmen sind die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyber-Raum schützen. Firewalls, Spam-Schutz und automatische Datensicherungen durch Backups werden laut HDI Studie am häufigsten verwendet. So gaben 83 Prozent der Befragten an, dass sie Firewalls installiert hätten, 81 Prozent nannten Spam-Schutz und 80 Prozent automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 Prozent) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 Prozent). Die technischen Maßnahmen haben für die Unternehmen den Vorteil, dass sie einen guten Basisschutz bieten und häufig mit wenig Aufwand umzusetzen sind. Allerdings zeigen Untersuchungen, dass technische Lösungen allein nicht ausreichen.
Organisatorische Maßnahmen
Organisatorische Präventionsmaßnahmen umfassen zum Beispiel verbindliche Passwort-Standards oder Schwachstellen-Scans der IT und im weiteren Sinne auch die Vorbereitung von Notfallmaßnahmen für einen Cyberangriff. Am weitesten verbreitet (72 Prozent) sind verbindliche Standards für den Umgang mit Passwörtern. Kritischer sieht es dagegen in Sachen Notfallmanagement aus. So sind die Zuständigkeiten bei einem Cyberangriff lediglich bei jedem zweiten Unternehmen (55 Prozent) eindeutig festgelegt. Angriffe, die auf die Schwachstelle Mensch zielen, sind in der Praxis am erfolgversprechendsten – für den Angreifer. "Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt. Denn Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen", erklärt HDI-Vorstand Malte Dittmann. Umso überraschender ist das Ergebnis, dass laut HDI Studie nur knapp die Hälfte (48 Prozent) der befragten Unternehmen mindestens einmal jährlich Mitarbeiterschulungen zur Cybersicherheit einsetzt. Ein Viertel (25 Prozent) der Unternehmen testen ihre IT-Sicherheit durch simulierte E-Mail-Angriffe.
Kombinierte Präventionsmaßnahmen
Cyberangriffe sind vielfältig und die Schwachstellen, auf die diese zielen, sind immer wieder andere. Deshalb gibt es auch nicht die eine wirksame Präventionsmaßnahme. Viele Unternehmen konnten durch die Kombination von Maßnahmen ihren Cyberschutz wirksam erhöhen. Der Schwerpunkt sollte auf technischen Maßnahmen liegen. Darüber hinaus sollten auch die Mitarbeiter mit ins Boot geholt werden, da sie die größte Angriffsfläche bieten. Wissenslücken können zum Beispiel durch Mitarbeiterschulungen und Notfallpläne geschlossen werden.
31 Prozent aller befragten Unternehmen waren in letzter Zeit von erfolgreichen Cyberangriffen betroffen. Von denjenigen, die mehr als zehn der untersuchten Präventionsmaßnahmen einsetzen, waren es lediglich 18 Prozent. Noch signifikanter war der Unterschied bei der durchschnittlichen Schadenhöhe: Sie lag bei 23 Prozent der befragten Unternehmen, die mehr als zehn Maßnahmen einsetzten, bei 54.000 Euro – im Vergleich zu durchschnittlich 95.000 Euro bei der Betrachtung aller betroffenen Firmen.